Según la Oficina Federal de Investigaciones (FBI) y el Departamento de Seguridad Nacional (DHS), hackers rusos estarían atacando parte de la infraestructura estadounidense. Su objetivo serían las redes de energía, las instalaciones nucleares, los sistemas de aviación y las plantas de procesamiento de agua. Un nuevo informe realizado por la empresa de seguridad Symantec detalla numerosos intentos, al menos desde marzo de 2016, en los que estos hackers apuntaron a entidades gubernamentales y a múltiples sectores de infraestructuras críticas estadounidenses.
Los investigadores describieron por primera vez la amenaza en un informe publicado el pasado mes de septiembre, señalando que el malware podría estar vinculado a un ataque anterior de 2014. El análisis realizado tanto por el FBI como por el DHS confirmó un grupo de «indicadores y comportamientos distintos» que finalmente fueron atribuidos a «Dragonfly», un sofisticado grupo de hackers respaldados por el Kremlin. Lo cierto es que el informe de hoy ofrece la primera confirmación pública por parte de funcionarios del gobierno de que este tipo de infraestructura está, o al menos estaba, siendo atacada por hackers extranjeros.
Nuevas sanciones a Rusia
Según el FBI y el DHS, los hackers se infiltraban a menudo en proveedores de confianza de terceros, a sabiendas de que dependían de redes menos seguras que su víctima final. De este modo, los infractores los usaban como una especie de gancho para pasar malware, destinado en realidad a un objetivo mucho más grande, con redes más amplias y seguras. El informe actual ha declarado que los lugares atacados eran «pequeñas instalaciones comerciales» y que éstas estaban coordinadas y dirigidas, no eran elegidas al azar. Se trataba de instalaciones vulnerables a este tipo de ataques, con algunos sistemas en funcionamiento con más de una década.
Las acusaciones de hoy van acompañadas además de nuevas sanciones a Rusia. Las sanciones se han aplicado a por lo menos tres organizaciones y 13 personas. De ellos, quizás el más reconocible es la Internet Research Agency, la llamada «troll farm» (granja de trolls), responsable de causar estragos en las elecciones presidenciales de 2016 a través del uso de anuncios en Facebook diseñados para explotar las divisiones en la política estadounidense. Asimismo, el Servicio Federal de Seguridad ruso, una especie de ala de inteligencia militar, también figuraba en la lista.
Stuxnet y otros ataques del estilo
En este sentido hay que recordar que Estados Unidos también tuvo en su poder Stuxnet, un troyano muy sofisticado que nació con el objetivo de sabotear y espiar sistemas para la gestión de procesos industriales. Su complejidad era tal que, según rumores, fue creado específicamente para sabotear el programa nuclear iraní. El gusano fue descubierto en en junio de 2010 por VirusBlokAda, una empresa de seguridad bielorrusa. Stuxnet se dedicaba a atacar equipos con Windows empleando cuatro vulnerabilidades de día cero. Su método de acción era muy poco habitual en un ataque de malware. El ataque requería conocimientos de procesos industriales. Básicamente su objetivo era atacar infraestructuras industriales.
Siemens puso a disposición del público una herramienta de detección y eliminación de Stuxnet. La compañía recomienda contactar con el soporte técnico en caso de detectar una infección, instalar los parches de Microsoft que eliminan vulnerabilidades, así como prohibir en las instalaciones industriales el uso de memorias USB no controladas o extrañas. Tras Stuxnet fue descubierto otro gusano muy similar, al que se definió como su sustituto. Nos referimos a Duqu, con un método de conducta similar: introducirse en sistemas industriales para robar información o sabotear equipos. Tras este llegó Gauss, otro troyano espía, calificado como un “conjunto de complejas herramientas creadas por un Estado” para robar o espiar contraseñas.
